Wiadomości

Microsoft: nie obawiajcie się o BitLockera

15 lutego 2010 15:45,
securitystandard
.. » Bezpieczeństwo » Bezpieczeństwo sieci » Szyfrowanie/deszyfrowanie danych

Przedstawiciele Microsoftu skomentowali informacje o tym, iż pewien specjalista ds. bezpieczeństwa zaprezentował metodę obchodzenia zabezpieczeń układów TPM (Trusted Platform Module), wykorzystywanych m.in. w systemie szyfrowania danych BitLocker w Windows. "Zagrożenie dla klientów jest niewielkie, ponieważ do przeprowadzenia skutecznego ataku niezbędny jest fizyczny dostęp do komputera, specjalistyczne wyposażenie oraz rozbudowana wiedza z zakresu informatyki" - oświadczył Paul Cooke z Microsoftu.

We wpisie opublikowanym w Windows Security Blog Cooke napisał m.in.: "Od momentu prezentacji (która odbywał się na konferencji BlackHat) dotyczącej słabości TPM klienci pytają nas: jaki to ma wpływ na Windows? Nasza odpowiedź jest taka: wierzymy, że korzystanie z TPM jest wciąż skuteczną metodą zabezpieczania poufnych danych i dlatego klienci powinni korzystać z dostępnej w Windows 7 funkcji BitLocker Drive Encryption [wykorzystującej TPM - red.]. Przeprowadzenie ataku nie jest proste - niezbędny jest fizyczny dostęp do komputera oraz odpowiednio wykwalifikowany i wyposażony włamywacz. Technika obchodzenia zabezpieczeń zaprezentowana na BlackHat jest oczywiście bardzo interesująca - ale uważamy, że pokazana tam metoda ataku jest trudna do odtworzenia, dlatego tak naprawdę stanowi to niewielkie zagrożenie dla użytkowników. Warto dodać, że można skonfigurować BitLockera tak, by nie był podatny nawet na taki mało prawdopodobny atak".

"Układ TPM 1.2 nie jest tak bezpieczny, jak próbują nam wmówić jego producenci. Jestem w stanie uzyskać wszystkie zabezpieczone nim informacje - np. klucze licencyjne do Xboksa 360 itp. Nie ma tam nic, czego nie mógłbym poznać" - mówi o swoim odkryciu Christopher Tarnovsky, specjalista z firmy Flylogic Engineering, który rozpracował zabezpieczenia TPM zastosowane przez Microsoft w Xboksie 360.

Cooke tłumaczy, że Microsoft od początku miał świadomość pewnych niedoskonałości TPM, dlatego też BitLocker dla Windows 7 został zaprojektowany tak, by owych błędów nie dało się wykorzystać do przechwycenia poufnych informacji. To brzmi dość wiarygodnie - choćby dlatego, że inni specjaliści ds. bezpieczeństwa już co najmniej dwukrotnie znajdowali poważne luki związane z Trusted Platform Module. Jedna z nich miała być omawiana podczas Black Hat w 2007 r., ale w ostatniej chwili prelekcja na ten temat tajemniczo zniknęła z programu imprezy.

"Nasi inżynierowie zmienili nieco w BitLockerze strukturę szyfrowania - wprowadzili dodatkowe zabezpieczenia, które, o ile zostaną poprawnie skonfigurowane, zapewniają praktycznie 100-procentowe bezpieczeństwo" - tłumaczy przedstawiciel koncernu.

Chodzi tu m.in. o możliwość zdefiniowana numeru PIN, którego podanie będzie niezbędne do uzyskania dostępu do danych (PIN może mieć od 4 do 20 znaków). Warto podkreślić, że to zabezpieczenie nie jest domyślnie uaktywnione - użytkownik musi je włączyć sam. Co ważne, podczas tworzenia PIN-u można korzystać ze wszystkich znaków klawiaturowych (a nie tylko cyfr).

Warto przypomnieć, że mechanizm szyfrujący BitLocker po raz pierwszy pojawił się w najbardziej rozbudowanych wersjach Windows Vista. Jest też dostępny w Windows 7 (ale wyłącznie wersjach Ultimate i Enterprise ), a także w Windows Server 2008 oraz Server 2008 R2.
Oryginalny tekst został opublikowany na www.securitystandard.pl
Podziel się |
Ocena:
Twoja ocena:
+ dodaj komentarz

Komentarze (4)

~cd

16-02-2010 08:18
odpowiedz zgłoś do moderacji

No i PO CO ta cała zabawa w chowanego? Po co się wygłupić?

~Venom344

15-02-2010 22:13
odpowiedz zgłoś do moderacji

"Nasi inżynierowie zmienili nieco w BitLockerze strukturę szyfrowania - wprowadzili dodatkowe zabezpieczenia, które, o ile zostaną poprawnie skonfigurowane, zapewniają praktycznie 100-procentowe bezpieczeństwo" ;) 100 % bezpieczeństwo ha ha ha w dzisiejszych czasach nic takiego nie istnieje, powiedzmy sobie prosto w oczy ;) niedawna sprawa ukradzionych danych z banków szwajcarskich o osobach fizycznych nie odprowadzających podatków do skarbu państwa Niemiec ;) i sprzedawanych za niezłą kaskę rządowi Niemiec ;)

~Paweł Krawczyk

15-02-2010 17:45
odpowiedz zgłoś do moderacji

max: w niektórych rozwiązaniach w przeszłości PIN był początkowo wyłącznie numeryczny, ale potem wprowadzono możliwość stosowania haseł alfanumerycznych i żeby nie dezorientować klientów nadal używano nazwy PIN. Tak było np. w tokenach SecureID, które miały numeryczny PIN pad, a potem PIN można było podawać z klawiatury. Uwaga co do nazwy PIN oczywiście trafna, istnieją po prostu historyczne zaszłości, które powodują używanie tej nazwy w formalnie błędnym zastosowaniu.

~max

15-02-2010 16:18
odpowiedz zgłoś do moderacji

"Co ważne, podczas tworzenia PIN-u można korzystać ze wszystkich znaków klawiaturowych (a nie tylko cyfr)." Przypominam, że PIN to skrót od Personal Identification NUMBER, czyli nie może się składać z czegoś, co nie jest cyframi. To, o czym mowa w artykule, to po prostu hasło.

Polecane

Opinie

Przełomowy rok... znowu

Przełomowy rok... znowu

Lektura firmowych informacji prasowych i prognoz firm analitycznych nie pozostawia wątpliwości - każdego roku...


Spokój i luz administratora

Spokój i luz administratora

Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...


Prenumerata Redakcja
Regulamin Reklama
Ochrona Prywatności
04-204 Warszawa ul. Jordanowska 12
tel.: (+48 22) 321 78 00 fax: (+48 22) 321 78 88
© copyright 2011 IDG Poland SA